欧州サイバーレジリエンスアクト（CRA）に関するFAQ公表

欧州サイバーレジリエンスアクト（CRA）とは、EU域内で流通する「デジタル要素を含む製品」を対象に、サイバーセキュリティ要件を法的に義務付けるEU規則であり、製品の設計・開発段階から市場投入後までのライフサイクル全体を対象としています。

本規則では、製造業者を中心に、輸入業者および販売業者にも一定の責任が定義されており、産業機器を含むB2B製品も適用対象に含まれます。

CRAの目的は、製品に起因するサイバー脆弱性の低減とEU域内におけるサイバーセキュリティ水準の均一化にあり、設計段階でのリスク評価、セキュリティ・バイ・デザインの実装、脆弱性管理および市場投入後の報告義務などが求められます。CRAは2024年12月に発効し、原則として2027年12月11日から適用され、EU市場に製品を供給する事業者に対し、サイバーセキュリティを法的義務として遵守することを求める制度です。

本資料（FAQs on the CRA）は

規制の適用範囲、経過措置、各経済事業者（製造業者・輸入業者・販売業者）の責務について、実務的な観点から理解を深めることを目的としています。CRA対応を検討する企業にとって、条文だけでは読み取りにくい実務上の論点を把握するための参考資料として活用いただけます。

※弊社では参考訳をご用意しております。ご希望の方は、下記の「お問い合わせ先」までご連絡ください。

CRA関連セミナー

• CRAセミナー
• CRA関連Q&Aワークショップ（CRA対応方針検討）

SGSジャパンでは、CRAで求められる 組織プロセス（プロセス要求） および 製品側のセキュリティ要求（プロダクト要求） に対応した社内プロセス構築支援、ならびに製品試験サービスを提供しています。

現在、CRA の整合規格が未確定である状況においては、以下の国際規格・関連制度に基づく知識と経験を活かし、CRA への実装支援を行っています。

• IEC 62443 シリーズ
• EN 18031-1 / -2 / -3（RE指令のサイバーセキュリティ整合規格）
• EN 303 645（UK PSTI、Singapore CLS、近年では日本の JC-STAR でも参照）

これらの知見をもとに、CRA に向けた技術サポートを幅広く提供しています。

SGSジャパン株式会社

C&P Connectivity ワイヤレス
TEL：050-1780-7880

または本ウェブサイト上のお問い合わせフォームよりご連絡ください。